Diferència entre revisions de la pàgina «Practica VSFTPD»

De Cacauet Wiki
Salta a la navegació Salta a la cerca
Línia 36: Línia 36:
 
#: '''Modifica la configuració perquè la carpeta pública <code>/var/ftp</code> sigui la carpeta on va a parar l'usuari ''anonoymous''.'''
 
#: '''Modifica la configuració perquè la carpeta pública <code>/var/ftp</code> sigui la carpeta on va a parar l'usuari ''anonoymous''.'''
 
# Crea 2 nous usuaris al servidor:
 
# Crea 2 nous usuaris al servidor:
#* Usuari "james".
+
#* Usuari "zeus".
#* Usuari amb el teu nom.
+
#* Usuari amb el teu nom (o "mercuri").
 
# Activa la directiva que permet als usuaris del sistema entrar al servei FTP.
 
# Activa la directiva que permet als usuaris del sistema entrar al servei FTP.
# Crea una '''carpeta compartida a <code>/var/ftp-shared</code>''' on només podran llegir i escriure els usuaris registrats al servidor (no el "anonymous").
+
# Crea una '''carpeta compartida a <code>/var/www/html</code>''' on només podran llegir i escriure els usuaris registrats al servidor (no el "anonymous").
#:Pista: caldrà que creis un grup "lacetania" i atorguis els permisos necessaris perquè això funcioni.
+
#:Pista: caldrà que creis un grup "web" i atorguis els permisos necessaris perquè això funcioni.
 
# Crea ''links'' simbòlics des dels diferents ''home directories'' cap a la carpeta compartida i la carpeta pública. Així posarem fàcil als usuaris d'accedir-hi.
 
# Crea ''links'' simbòlics des dels diferents ''home directories'' cap a la carpeta compartida i la carpeta pública. Així posarem fàcil als usuaris d'accedir-hi.
 
# Cal tenir un usuari administrador (funky) capaç de realitzar qualsevol operació sobre les carpetes.
 
# Cal tenir un usuari administrador (funky) capaç de realitzar qualsevol operació sobre les carpetes.
Línia 48: Línia 48:
 
=== Part II Server (chroot) ===
 
=== Part II Server (chroot) ===
 
Volem "engabiar" els usuaris (chroot) al seus ''home directory'' (perquè no remenin els arxius del servidor). Però no ho volem fer amb tots els usuaris perquè si no, no poden escriure al seu ''home'' i tampoc poden accedir a les carpetes públiques.
 
Volem "engabiar" els usuaris (chroot) al seus ''home directory'' (perquè no remenin els arxius del servidor). Però no ho volem fer amb tots els usuaris perquè si no, no poden escriure al seu ''home'' i tampoc poden accedir a les carpetes públiques.
# Crea un nou usuari "maceo".
+
# Crea els usuaris "james" i "maceo".
# L'usuari anonymous ha d'estar engabiat a la carpeta pública.
+
# L'usuari ''anonymous'' ha d'estar engabiat a la carpeta pública.
 
# Activa la directiva d'engabiar usuaris (chroot).
 
# Activa la directiva d'engabiar usuaris (chroot).
# Busca com seleccionar els usuaris que vols engabiar (chroot_list) i posa-hi només a "maceo".
+
# Busca com seleccionar els usuaris que vols engabiar (chroot_list) i posa-hi només a "maceo" i "james".
 
#*NOTA: Des d'una certa versió del vsftpd, si engabiem amb chroot no ens deixarà entrar els usuaris que puguin escriure als seus ''home directories''.Tenim 2 solucions possibles:
 
#*NOTA: Des d'una certa versió del vsftpd, si engabiem amb chroot no ens deixarà entrar els usuaris que puguin escriure als seus ''home directories''.Tenim 2 solucions possibles:
 
#*# Retirar els permisos d'escriptura en els ''home directory''.
 
#*# Retirar els permisos d'escriptura en els ''home directory''.

Revisió del 19:17, 26 oct 2015

L'objectiu de la pràctica és instal·lar un servei FTP per la nostra xarxa local.

La màquina que contindrà el servidor de FTP serà el Ubuntu Server (FUNKYSERVER). Aquesta serà l'encarregada de mantenir l'estructura de fitxers i directoris a oferir als clients, validar les connexions i executar les ordres dels clients.

Recorda que has de realitzar un informe d'aquesta pràctica segons les normes de presentació de treballs del curs.

Introducció

El servei FTP utilitza el port 21. Té 2 possibles modes:

  • Actiu (port 20): la iniciativa de transferència la pren el servidor.
  • Passiu (port aleatori no privilegiat): la iniciativa de transferència la pren el client.

Mireu-vos els diagrames d'aquest article sobre mode FTP actiu vs. passiu.


L'usuari anonymous és un usuari només del servei FTP. Per tant, no cal crear-lo, sinó simplement activar-lo en la configuració del servei FTP.


Objectius

Volem configurar el servei FTP del nostre servidor que disposi de:

  • Usuari anonymous: pot descarregar (només) elements d'una carpeta pública del servidor (/var/ftp).
  • Usuaris privilegiats: (zeus, mercuri) que poden llegir i escriure de la carpeta compartida /var/www/html per treballar en grup.
  • Usuaris no-privilegiats: (james, maceo) del sistema poden entrar per FTP al seu home directory (i no poden veure res més, engabiats).


Configuració del servidor

Per poder-ho dur a terme les tasques heu de tenir molt clar:

  • L'arxiu de configuració és /etc/vsftpd.conf
  • Els permisos i propietari/grup de les carpetes esmentades.

Part I Server

  1. Activa el compte anonymous del servidor FTP.
  2. Esbrina quina és la carpeta per defecte on escriu l'usuari anonymous.
  3. Crea una carpeta pública a /var/ftp on tothom (tant anonymous com els usuaris de sistema) pugui llegir però no escriure.
    Modifica la configuració perquè la carpeta pública /var/ftp sigui la carpeta on va a parar l'usuari anonoymous.
  4. Crea 2 nous usuaris al servidor:
    • Usuari "zeus".
    • Usuari amb el teu nom (o "mercuri").
  5. Activa la directiva que permet als usuaris del sistema entrar al servei FTP.
  6. Crea una carpeta compartida a /var/www/html on només podran llegir i escriure els usuaris registrats al servidor (no el "anonymous").
    Pista: caldrà que creis un grup "web" i atorguis els permisos necessaris perquè això funcioni.
  7. Crea links simbòlics des dels diferents home directories cap a la carpeta compartida i la carpeta pública. Així posarem fàcil als usuaris d'accedir-hi.
  8. Cal tenir un usuari administrador (funky) capaç de realitzar qualsevol operació sobre les carpetes.

Mostra el resultat al professor tal i com ho tens ara.

Part II Server (chroot)

Volem "engabiar" els usuaris (chroot) al seus home directory (perquè no remenin els arxius del servidor). Però no ho volem fer amb tots els usuaris perquè si no, no poden escriure al seu home i tampoc poden accedir a les carpetes públiques.

  1. Crea els usuaris "james" i "maceo".
  2. L'usuari anonymous ha d'estar engabiat a la carpeta pública.
  3. Activa la directiva d'engabiar usuaris (chroot).
  4. Busca com seleccionar els usuaris que vols engabiar (chroot_list) i posa-hi només a "maceo" i "james".
    • NOTA: Des d'una certa versió del vsftpd, si engabiem amb chroot no ens deixarà entrar els usuaris que puguin escriure als seus home directories.Tenim 2 solucions possibles:
      1. Retirar els permisos d'escriptura en els home directory.
        Com que llavors els usuaris no podran escriure-hi res, caldria crear 2 carpetes internes perquè els usuaris pengin coses: "ftp" i "public_html" (amb els permisos adequats per escriure-hi).
      2. Saltar-nos aquesta directiva de seguretat com explica en aquest article:
  5. Intenta crear links als directoris compartits per "maceo", veuràs que amb simbolic links no funciona (i sí que funcionava amb "james" perquè no està engabiat).
  6. Busca una manera alternativa de compartir directoris amb l'usuari "maceo" ja que els links simbòlics no funcionen (pista: amb la comanda mount --bind ...).


Clients

Com a clients podeu utilitzar el mateix navegador d'arxius de l'Ubuntu o el de Windows (s'accedeix amb ftp://...). El firefox no serveix perquè només et deixa descarregar i no pujar arxius.

El client de FTP més conegut és el Filezilla. Instal·leu-lo ales màquines client i afegiu algun pantallasso.


Servidor AWS

Si disposes d'un servidor AWS d'Amazon el configurarem com un servei de hosting. Configura'l de la següent manera:

  • Configura el servidor en mode PASSIU:
  • Usuaris:
    • "enric" : sense engabiar.
    • "gabi" : engabiat (amb les credencials de "enric").
      Mireu l'apartat sobre CHROOT que explica més amunt com fer-ho restringint els permisos d'escriptura al home de gabi.
  • Activa els userdir del Apache i fes que els usuaris anteriors puguin publicar webs.